Wojewódzki Sąd Administracyjny w Warszawie uchylił karę finansową nałożoną przez Urząd Ochrony Danych Osobowych na STU ERGO Hestia. Uznał bowiem, że ujawnienie numeru PESEL nie musi oznaczać wysokiego ryzyka np. zaciągnięcia pożyczki – informuje „Dziennik Gazeta Prawna”.
Sprawa dotyczyła wysłania przez jednego z multiagentów do niewłaściwego odbiorcy analizy potrzeb ubezpieczeniowych oraz oferty ubezpieczenia, zawierającej imię i nazwisko oraz PESEL, którego wyciek UODO uznaje od dawna za zdarzenie obarczone wysokim ryzykiem dla praw i wolności osób fizycznych, oraz informację o przedmiocie ubezpieczenia. Pośrednik, będąc administratorem danych w postaci imienia i nazwiska, zdecydował się dokonać zgłoszenia naruszenia ochrony danych osobowych do UODO. Uznał on, że w efekcie zdarzenia może dojść do naruszenia praw lub wolności osoby fizycznej. W błędnie wysłanej korespondencji były dane osobowe zawarte w ofertach i kalkulacjach kilku ubezpieczycieli.
Przeprowadzona przez UODO weryfikacja wykazała, że kilka zakładów jako administratorów danych dokonało zgłoszenia naruszenia ochrony danych. Za wyjątkiem ERGO Hestii, której specjaliści ocenili ryzyko jako niewielkie, a kroki podjęte przez towarzystwo za właściwe do zapobieżenia mu. UODO uznał jednak, że zakład był zobowiązany do poinformowania zarówno urzędu, jak i klienta o incydencie i nałożył na firmę karę w wysokości 160 tys. zł. WSA w Warszawie w wyroku z 19 kwietnia 2022 r. (sygn. akt II SA/Wa 3024/21) uznał jednak, że choć doszło do naruszenia ochrony danych, to ryzyko nie było wysokie, a tylko przy takim administrator jest zobowiązany poinformować o naruszeniu samego zainteresowanego. Zdaniem sądu samo przejęcie przez kogoś numeru PESEL, nawet w połączeniu z imieniem i nazwiskiem czy kodem pocztowym, nie stanowi automatycznie dużego zagrożenia dla właściciela danych. WSA stwierdził, że UODO nie wykazał przekonywająco, że w praktyce jest możliwe, np. legalne zaciąganie zobowiązań wyłącznie na podstawie takich danych, jak imię i nazwisko, PESEL oraz miejscowość i kod pocztowy, czy też zawarcie umowy pożyczki, nawet w instytucjach pozabankowych czy parabankowych, za pośrednictwem internetu lub telefonicznie.
Poproszony o komentarz Marcin Tarczyński, analityk Polskiej Izby Ubezpieczeń, przekazał „DGP”, że branży ubezpieczeniowej zależy na jednolitym podejściu do kwestii ochrony danych osobowych, dlatego wszelkie dyskusje zmierzające w kierunku ujednolicenia praktyk są analizowane przez PIU. W jego ocenie jest jednak stanowczo za wcześnie na jakiekolwiek konkretne stanowiska ze strony Izby.
Więcej:
„Dziennik Gazeta Prawna” z 27 czerwca, Sławomir Wikariak „Nie każdy wyciek danych trzeba zgłaszać”
(AM, źródło: „Dziennik Gazeta Prawna”)